Verwenden von ACLs über schreibgeschütztes / entferntes Dateisystem


9

Ich möchte lokale ACLs definieren, die über ein remote bereitgestelltes Dateisystem verwendet werden sollen. Das Dateisystem wird über autofs und sshfs FUSE gemountet.

Die Idee ist, dass wir einen inhaftierten Benutzer auf einem Jump-Server mit Zugriff auf Lesedateien auf anderen Servern in der Umgebung einrichten und Standardbefehle verwenden können, ohne viel Aufwand zu betreiben und ohne ssh-Zugriff zu gewähren.
Das Problem ist, dass sshfs immer als derselbe Benutzer ausgeführt wird, sodass Dateien im Pfad auf dem Remote-System unabhängig vom Benutzer, für den sie verfügbar gemacht wurden, verfügbar gemacht werden.

Ich habe untersucht, wie die Sicherheitsüberprüfung direkt in sshfs codiert wird, aber bevor ich diesen Weg gehe, möchte ich sehen, ob ein anderes Paket einem ansonsten schreibgeschützten Dateisystem ACL-Unterstützung hinzufügen kann.

Bearbeiten: @peterph Wie würden Sie Ihre ACLs für die NFS-Freigabe festlegen, wenn das Remote-Dateisystem schreibgeschützt ist?

sshfs war wirklich einfach zu zerlegen, daher habe ich den ACL-Check einige Tage nach dem Schreiben direkt in sshfs selbst eingefügt. Benutzer werden bei der Anmeldung über OpenSSH und Jailkit inhaftiert und greifen von dort aus als nicht privilegierter Benutzer auf das schreibgeschützte sshfs automount zu. Jeder Verzeichnis- / Dateistatus oder Lesevorgang generiert ein Syslog-Ereignis. Es hat wie ein Zauber funktioniert und die Benutzer haben keine Rechte an der einen eingesperrten Box.


4
bindfs unterstützt keine ACLs. rofs ist nicht gewartet und ich glaube nicht, dass es unterstützt, was Sie sowieso wollen. Ich würde einen einfacheren Ansatz wählen: Lassen Sie jeden Benutzer ein sshfs-Dateisystem für sich selbst bereitstellen und jedem Benutzer ein separates SFTP-Konto auf dem Server zuweisen. Es ist einfacher, einfache Setups sicher zu halten als Rube Goldberg-Geräte.
Gilles 'SO - hör auf böse zu sein'

Antworten:


1

Gibt es einen Grund, NFS mit ACL-Unterstützung nicht zu verwenden? Sie können es entweder über SSH / VPN tunneln oder NFSv4 verwenden, das die Verschlüsselung selbst unterstützt.

Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.